SIEMENS西门子 S-1FL2高惯量型电机 1FL2310-4AC01-1HB0

             兼具工程组态以及运行功能权限的角色，可在 Startdrive 中开展工程组态并访问变频器 角色和权限的对应关系 为了便于在具有访问保护的项目和变频器上工作，可以使用既具有工程配置权限又具有实时 固件权限的角色。可以按照用户的职责或任务为用户分配所需角色。 以下角色兼具工程配置和实时固件权限，默认用于访问驱动： 编号 兼具工程配置和实时固件权限、可以访问驱动的角色 [1] Drive Administrator1) [2] Drive Safety Engineer [3] Drive Engineer and Service 1) 将项目数据从项目加载到驱动中时应用项目 UMAC 设置所需的角色。 可将以下工程配置功能权限分配给上述角色：具有运行功能权限、可以访问变频器的角色 角色和权限的对应关系 默认提供以下角色可以访问变频器。 编号 具有实时固件权限、可以访问变频器的角色 [1] Drive Administrator [2] Drive Safety Engineer [3] Drive Ext. Role Fieldbus1), Drive Ext. Role SDI Standard/Adv2) [4] Drive Engineer and Service [5] Drive Operator [6] Drive Guest 1) 扩展角色，用于通过现场总线协议（比如： PROFINET、SNMP）访问变频器 2) 扩展角色，用于通过 SINAMICS SDI Standard 面板访问变频器 这些角色默认具有的实时固件权限如下。

           通过现场总线协议访问变频器时的扩展角色 简介 扩展角色“Drive Ext. Role Fieldbus”用于通过现场总线协议访问变频器。功能说明 以下现场总线协议不提供登录时的用户身份验证功能： • S7 协议 PCS7 • PROFINET • DCP • SNMP • EtherNet/IP • Modbus TCP 因此，在通过这些协议访问变频器时会使用用户“Anonymous”。 访问控制 激活用户后，用户才能进行对变频器进行读写访问。 需要通过这些协议进行读写访问时，必须为用户“Anonymous”分配角色“Drive Ext. Role Fieldbus”。 如果只需要通过这些协议进行读访问，有以下几种方式： • 为用户“Anonymous”分配角色 "Drive Guest"，使用户可以通过所有接口和协议读取变频 器 或者 • 为用户"Anonymous"分配角色"Drive Ext. Role Fieldbus"，使用户只能通过现场总线协议来 读写变频器。 编辑设置 为用户"Anonymous"分配角色"Drive Ext. Role Fieldbus"后，每个用户都可以通过现场总线协 议读取并编辑变频器中的设置。此外： • 访问不需要身份验证。 • 但无法编辑以下设置： – UMAC 设置 – Safety Integrated 设置 说明 保护网络，防止未经授权的访问 请进行信息安全风险评估。然后采取信息安全风险评估中制定的措施，保护网络，防止未经 授权的访问。例外 在以下情形下，访问不会经过用户验证和权限检查： • PROFINET、EtherNet/IP 和 Modbus TCP 循环通讯期间 • 通过 DCP 读访问时通过 SINAMICS SDI Standard 面板访问变频器时的扩展角色 简介 扩展角色“Drive Ext. Role SDI Standard/Adv”用于通过 SINAMICS SDI Standard 面板访问变频 器。 说明 通过 SINAMICS SDI Standard 面板访问 在没有 SINAMICS SDI Standard 面板的变频器上，无法使用扩展角色“Drive Ext. Role SDI Standard/Adv”。 功能说明 SINAMICS SDI Standard Panel 不提供登录时的用户身份验证功能。 因此，在通过 SINAMICS SDI Standard 面板访问变频器时，固定使用用户“Anonymous”。 访问控制 激活用户“Anonymous”后，才能进行读写访问。 需要通过 SINAMICS SDI Standard 面板进行读写访问时，必须为用户“Anonymous”分配角色 “Drive Ext. Role SDI Standard/Adv”。 如果只需要通过 SINAMICS SDI Standard 面板进进行读访问，有以下几种方式： • 为用户“Anonymous”分配角色“Drive Guest”，使用户可以通过所有接口和协议读取变频器 或者 • 为用户“Anonymous”分配角色“Drive Ext. Role SDI Standard/Adv”，使用户只能通过 SINAMICS SDI Standard 面板来读写变频器。端口和协议的配置 无论默认设置如何，都可以限制应用对变频器的访问。此外，也可以激活或禁用通过各个接 口和协议的通讯。 访问选项的配置由系统集成商决定，该决定应根据具体的应用情况和操作环境作出。 有关预设置的更多信息参见产品文档。有/无身份验证的访问 不能孤立地看待端口和协议配置。必须始终考虑与以下因素的联系： • 在用户管理中定义的用户 • 使用的接口 • 使用的操作单元 • 使用的数据存储介质（例如存储卡） 下表列出了与上述因素相关的不同访问选项。 选项 身份验证 更多信息 通过以下协议访问： • HTTP 是 – 通过以下协议访问： • HTTPS • 安全的 S7 协议 Startdrive 是 – 通过以下现场总线协议访问： • S7 协议 PCS7 • PROFINET • DCP • SNMP • EtherNet/IP • Modbus TCP 否 例如，通过控制器访问。使用“Anonymous”用户访 问。必须激活该用户进行访问。 在以下情况下不验证权限： • 使用 PROFINET 协议的循环通讯期间 • 通过 DCP 读访问时 • 通过 EtherNet/IP 和 Modbus TCP 访问时硬件端口按需使用 说明 要针对变频器的物理保护、变频器接口以及选件模块进行信息安全风险评估，并采取风险评 估制定的措施。 防护等级为 IP20 的变频器设计用于安装在可上锁的控制柜/控制室中。应实施“关键生产区 域的物理保护 (页 27)”一章列明的保护措施。 更多信息 有关激活/禁用端口和协议的更多信息，可查看章节“端口和协议的Zui低功能 (页 72)”。硬件端口的附加保护措施 说明 应在信息安全风险评估时确定需要采取的附加保护措施（查看章节“信息安全管理 (页 23)” 一章）。 通讯接口保护措施 通讯接口，例如服务接口 X127，无法通过软件完全停用。如果信息安全风险评估的结果表明， 需要对通讯接口采取附加保护措施，可以使用网口锁等装置（西门子 RJ45 网口锁；订货号： 6GK1901-1BB50-0AA0）。 存储卡插槽保护措施 变频器的存储卡插槽无法通过软件停用。如果信息安全风险评估的结果表明，需要对存储卡 插槽采取附加保护措施，可以使用例如安全封口贴。这虽然不能阻止未经授权的访问，但可 以事后追溯。软件应用和功能的Zui小功能 说明 固件不支持 Technology Extension 或其他附加功能。 受保护的通讯路径传输时的敏感数据保护 (Data in Transit) 简介 在受保护的通讯中，机密数据在传输过程中使用加密安全通讯通道和协议，可防止未经授权 的第三方访问。此外，还会检查数据的完整性。 说明 组合使用以下机制，可确保变频器和工程配置工具之间的通讯受到保护。安全通讯通道和协议 变频器与工程配置工具（Startdrive 或网络服务器）之间的通讯通过以下协议加以保护： • 安全的 S7 协议 Startdrive • HTTPS 变频器与其他通讯节点之间的通讯关系以及使用协议的一览，可查看章节“通信关系 (页 43)”。 识别通讯节点 变频器与工程配置工具（Startdrive 或网络服务器）之间建立受保护的连接时需要证书。该 证书在 SINAMICS 变频器中自动生成。 SINAMICS 变频器与工程配置工具（Startdrive 或网络服务器）之间第一次建立连接时， SINAMICS 变频器中会自动生成证书并显示给用户。此时会询问用户是否信任该证书。如果 用户同意，则建立连接，变频器获得“Trusted Device”（受信设备）状态。工程配置工具 Startdrive 会临时保存该证书。一旦项目上有所改动并且用户保存了该改动，证书会一并保 存到项目中。因此，在下一次重启 TIA Portal 、连到该变频器时，不会再次弹出是否信任证 书的询问。但如果该证书没有保存并且没有执行上传操作时，在下次打开项目、连到变频器 时，会再次弹出该询问。每次创建新项目时，同样会弹出询问。 更多信息 有关和网络服务器建立受保护 HTTPS 连接的更多信息，可查看章节“受保护通信证书 (页 178)”。受保护的数据存储保护变频器中保存的数据 说明 变频器中保存的数据通过 UMAC 加以保护。另外，密码会转为哈希值保存。证书的私钥只 能由设备软件本身使用。它们不属于备份数据的一部分，不保存在存储卡上，也不显示给用 户。保护存储卡或备份文件中保存的数据 说明 存储卡或备份文件中保存的敏感数据可通过“加密驱动数据”加密。另外，密码会转为哈希 值保存。加密驱动数据 简介 该功能会加密备份文件和变频器存储卡上的敏感数据。敏感数据是用户名和密码之类的 UMAC 数据。 功能说明 必须设置密码才能加密驱动数据。设置了密码并知道密码时，可以执行以下操作： • 更改驱动数据加密密码 • 禁用驱动数据加密 在设置驱动数据加密密码时，注意： • 仅使用 ASCII 字符。 • 密码时效设置不适用于驱动数据加密密码。 密码规则 在以下情况下，会检查密码是否符合设定的密码规则： • 激活了驱动数据加密时 • 更改了驱动数据加密密码时 关于 Startdrive 中密码规则可配置性的更多信息，可查看章节“配置密码规则 (页 109)”。 关于网络服务器中密码规则可配置性的更多信息，可查看章节“配置密码规则 (页 173)”。